INFORMATIONEN ZUR VERARBEITUNG IHRER DATEN

Mit diesen Hinweisen informieren wir Sie über die Verarbeitung Ihrer personenbezogenen Daten durch AXA XL und die Ihnen nach dem Datenschutzrecht zustehenden Rechte.

Die in dieser Mitteilung enthaltenen Informationen erklären, wie AXA XL Ihre personenbezogenen Daten erhebt, nutzt, weitergibt und schützt und informieren Sie über die Rechte, die Ihnen hinsichtlich der Nutzung, des Zugriffs und der Berichtigung Ihrer Daten zustehen.

Die Informationen in dieser Mitteilung gelten für alle natürlichen Personen, die von der Verarbeitung ihrer personenbezogenen Daten im Rahmen des abgeschlossenen Versicherungsvertrages betroffen sind. Sofern diese nicht mit dem Versicherungsnehmer identisch sind, trifft diesen die Verpflichtung, die Unterrichtung der hiervon betroffenen Personen durch Weitergabe dieser Mitteilung sicherzustellen.

Verantwortliche Stelle für die Verarbeitung der personenbezogenen Daten gemäß Art. 4 Nr. 7 DSGVO

XL Insurance Company SE
XL Catlin Services SE

Wolfe Tone House
Wolfe Tone Street
Dublin 1
D01 HP90
Irland

Kontaktdaten der österreichischen Niederlassung:

XL Insurance Company SE - Zweigniederlassung für Österreich
XL Catlin Services SE - Zweigniederlassung für Österreich:
Tuchlauben 3
1010 Wien - Österreich

Datenschutzbeauftragter

Für Informationen über Ihre Rechte oder bei Fragen darüber, wie Ihre personenbezogenen Daten verarbeitet werden, wenden Sie sich bitte an unseren Datenschutzbeauftragten per Brief unter einer der oben genannten Adressen oder per E-Mail unter dataprivacy@axaxl.com.

Wir sind bestrebt, mit Ihnen zusammenzuarbeiten, um eine faire Lösung für alle Beschwerden oder Bedenken bezüglich des Datenschutzes zu erreichen. Wenn Sie jedoch der Meinung sind, dass wir Ihnen bei Ihrer Beschwerde oder Ihrem Anliegen nicht helfen konnten, haben Sie das Recht, bei der zuständigen Datenschutzbehörde eine Beschwerde einzureichen."

Daten und Datenkategorien, die verarbeitet werden können

Wir verarbeiten Ihre personenbezogenen Daten unter Beachtung der EU-Datenschutz-Grundverordnung (DSGVO), des liechtensteinischen Datenschutzgesetzes vom 04. Oktober 2018 (DSG), der datenschutzrechtlich relevanten Bestimmungen des Gesetzes vom 16. Mai 2001 über den Versicherungsvertrag (VersVG) sowie aller weiteren maßgeblichen Gesetze. Die Erhebung dieser Daten erfolgt entweder unmittelbar bei Ihnen oder mittelbar über einen Vermittler, der mit AXA XL in Vertragsbeziehung steht und Sie hierüber unterrichtet hat.

Wir verarbeiten personenbezogene Daten, die uns im Rahmen des der Antragstellung und/oder des Abschlusses des Versicherungsvertrags zur Verfügung gestellt wurden und die für die ordnungsgemäße Durchführung des Vertragsverhältnisses (einschließlich der Beschwerdebearbeitung) erforderlich sind.

Im Falle einer Schadenmeldung oder der Geltendmachung von Schadensersatzansprüchen, benötigen wir die personenbezogenen Daten, um unsere Eintrittspflicht zu überprüfen sowie die Höhe der zu zahlenden Entschädigung zu bestimmen.

Bei Vertragsschluss ist die Beantwortung einiger Fragen zwingend. Ohne diese Angaben sind weder der Abschluss, noch die Erfüllung des Vertrags oder die Bearbeitung von Schadenfällen möglich.

Wir verarbeiten insbesondere folgende Daten und Datenkategorien:

• Stamm- und Vertragsdaten (z.B. Name, Adresse, Kontaktdaten, Familienstand, Beruf, Beginn- und Ablaufdaten, Angaben zum zu versichernden Risiko)
• Besondere personenbezogene Daten (z.B. Gesundheitsdaten)
• Informationen über persönliche Situationen (z.B. Sachwerte)
• Daten zu Ihren Schäden und andere Daten aus der Erfüllung unserer rechtlichen Verpflichtungen
• Daten zu Kontakten zu Ihnen und zur Vorgangsbearbeitung
• Umstände der Beteiligung der betroffenen Personen (z.B. Versicherungsnehmer, versicherte Person, Geschädigter, Zeuge)
• Vollmachten
• Interessentendaten

Die Notwendigkeit zur Verarbeitung besonderer Kategorien personenbezogener Daten richtet sich nach den Anforderungen des Versicherungsvertrages oder ergibt sich aus anderen Umständen im Zusammenhang mit unseren Versicherungsleistungen (beispielsweise der Schadenregulierung). Die hierfür gegebenenfalls erforderlichen Einwilligungen, insbesondere nach Art. 9 Abs. 2 lit. a und Art. 7 DSGVO, werden nach Bedarf gesondert eingeholt.

Darüber hinaus verarbeitet AXA XL anlassbezogen auch personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten. Dies betrifft insbesondere Schadenfälle deren Ursache auf ein rechtswidriges Verhalten des Versicherten, des Geschädigten oder eines Dritten zurückzuführen ist. Weitere Verarbeitungstätigkeiten können sich aus den gesetzlichen Verpflichtungen nach dem Gesetz vom 11. Dezember 2008 über berufliche Sorgfaltspflichten zur Bekämpfung Geldwäscherei, organisierter Kriminalität und Terrorismusfinanzierung (Sorgfaltspflichtgesetz; SPG) ergeben.

Zwecke und Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten die erhoben personenbezogenen Daten zum Zweck der Verwaltung und Erfüllung der Versicherungsverträge, dessen Versicherer AXA XL ist. Ihre Daten werden hierbei insbesondere zu folgenden Zwecken verwendet:

1. Die Erfüllung eines Versicherungsvertrages mit der AXA XL und/oder die damit verbundenen vorvertraglichen Maßnahmen (Art. 6 Abs. 1 lit. b. DSGVO), einschließlich der für die Risikoprüfung erforderlichen Verarbeitung und Profilerstellung sowie Qualitäts- oder Meinungsumfragen, insbesondere für die folgenden Zwecke:

• die Ausfertigung, Verwaltung (auch kommerzieller Art) und Erfüllung Ihres Versicherungsvertrags, im Falle eines Schadens, bei dem Sie selbst die geschädigte Person sind, die Begutachtung und Regulierung desselben sowie die Bearbeitung von Beschwerden und Reklamationen;
• die Durchführung statistisch-versicherungsmathematischer Untersuchungen und Erstellung von Risikobewertungen, -selektionen, -prüfungen und -tarifierungen zu Zwecken der Berechnung der Versicherungsprämie
• die Erhebung und Verarbeitung von Daten über Straftaten, Verurteilungen oder Sicherheitsmaßnahmen, soweit diese dem versicherten Risiko zuzuordnen sind und/oder deren Verarbeitung versicherungsrechtlich vorgeschrieben ist;
• die Beratung hinsichtlich möglicher Vertragsanpassungen oder -ergänzungen, Erfüllung von Auskunftsersuchen sowie Kulanzentscheidungen.

2. Des Weiteren verarbeiten wir Ihre personenbezogenen Daten zur Erfüllung rechtlicher Verpflichtungen nach Art. 6 Abs. 1 c.) DSGVO, denen wir als Verantwortliche Stelle unterliegen. Hierzu zählen insbesondere:

• die Bearbeitung von Schadenfällen, in denen die anspruchsberechtigte Person keine Partei des Versicherungsvertrages ist, beispielsweise als Drittbegünstigte oder -geschädigte;
• die Durchführung von Sanktions- und und Geldwäscheprüfungen - insbesondere in Hinblick auf die Ermittlung wirtschaftlich berechtigter Personen - nach Maßgabe der jeweils geltenden Geldwäschegesetze und Sanktionsregime;
• die Durchführung statistisch-versicherungsmathematischer Untersuchungen und Erstellung von Risikobewertungen, -selektionen, -prüfungen und -tarifierungen im Rahmen der uns treffenden gesetzlichen Verpflichtungen aus Art. 48 der Richtlinie 138/2009/EC ("Solvabilität II") und der sich daraus ergebenden Umsetzungsgesetze der EU-Mitgliedstaaten und des EWR;
• die Einhaltung aufsichtsrechtlicher Vorgaben, einschließlich handels- und steuerrechtlicher Aufbewahrungspflichten sowie die Fälle in denen uns eine Beratungspflicht obliegt."

3. Darüber hinaus verarbeiten wir Ihre Daten auch, um berechtigte Interessen von uns oder von Dritten wahrzunehmen. Diese Verarbeitung erfolgt auf Grundlage des Art. 6 Abs. 1 f.) DSGVO und betrifft unter anderem folgende Fälle:

• die Gewährleistung der IT-Sicherheit und des IT-Betriebs einschließlich Tests (sofern nicht bereits für die Vertragsdurchführung oder zur Erfüllung einer gesetzlichen Verpflichtung erforderlich);
• vorbehaltlich Ihres Widerspruchs, die Bewerbung unserer eigenen Versicherungsprodukte und Produkten der AXA-Unternehmensgruppe und deren Kooperationspartner sowie für Markt- und Meinungsumfragen;
• die Verhinderung und Aufklärung von Straftaten, soweit dies nicht bereits Gegenstand einer gesetzlichen oder regulatorischen Verpflichtung ist; hierbei nutzen wir insbesondere Analysen und Recherchen (auch aus öffentlich zugänglichen Quellen) zur Erkennung von Hinweisen, die auf Versicherungsmissbrauch hindeuten können;
• die Risikosteuerung innerhalb der AXA XL sowie der AXA-Unternehmensgruppe insgesamt;
• die Geschäftssteuerung und Weiterentwicklung von Prozessen, Dienstleistungen und Produkten.

In Bezug auf diese berechtigten Interessen stellen wir durch interne Kontroll- und Bewertungsverfahren sicher, dass diese mit der geltenden Rechts- und Gesetzeslage übereinstimmen und dass die Interessen oder die Grundrechte und -freiheiten der betroffenen Personen diese nicht überwiegen.

Wenn Sie von einer dieser Verarbeitungstätigkeiten betroffen sind und prüfen möchten, ob die in Ihrer konkreten Situation liegenden Umstände zu einem Überwiegen Ihrer Interessen führt, können Sie sich jederzeit an unseren Datenschutzbeauftragten wenden und um Übermittlung einer Kopie der Verhältnismäßigkeitsbeurteilung ersuchen.

Übermittlungen und Empfänger der personenbezogenen Daten

Die erhobenen personenbezogenen Daten können an Vertragspartner der AXA XL weitergegeben werden, die an Abschluss, Verwaltung und Ausführung des Vertrags sowie den sonstigen oben erwähnten Verarbeitungstätigkeiten beteiligt sind. Dazu gehören unter anderem:

• andere Versicherungs- und Rückversicherungsgesellschaften;
• Versicherungsvermittler (z. B. Versicherungsmakler, Agenten, etc.);
• Ärzte, Sachverständige und Gutachter (z.B. zur Schadenabwicklung oder zur Beurteilung von Risiken und Leistungspflichten);
• Auskunfteien und Detektive (zur Bonitätsprüfung und/oder zur Verhinderung und Aufklärung von Versicherungsbetrug);
• Rechtsanwälte (beratend und im Falle der Vertretung in Rechtsstreitigkeiten) sowie
• sonstige Dienstleister (z. B. externe Berater, Verwalter, IT Dienstleister, etc.).

Datenverarbeitung innerhalb der AXA-Unternehmensgruppe:

Darüber hinaus werden bestimmte Aufgaben und Funktionen der Datenverarbeitung innerhalb unserer Unternehmensgruppe zentral von spezialisierten Unternehmen oder Abteilungen erbracht. Sofern zwischen Ihnen und einem oder mehreren Unternehmen unserer Unternehmensgruppe ein Versicherungsvertrag besteht, können Ihre Daten zentral von einem Unternehmen unserer Unternehmensgruppe verarbeitet werden, z. B. für die zentrale Verwaltung Ihrer Kontaktdaten, für den telefonischen Kundenservice, für die Vertragsbearbeitung einschließlich der Leistungs- und Schadensabwicklung, für das Inkasso und die Zahlung oder für die Postbearbeitung.

Weitere Empfänger:

Ferner können wir anlassbezogen Ihre Daten im Rahmen uns treffender rechtlicher Pflichten an weitere Empfänger übermitteln, insbesondere Behörden (z. B. Sozialversicherungsträger, Finanzbehörden und Aufsichts- oder Justizbehörden), Kreditinstitute, Steuerberater und zugelassene Wirtschaftsprüfer.

Schließlich kann es auch erforderlich sein, Ihre personenbezogenen Daten mit potenziellen Käufern oder ausgewählte Partnern im Zusammenhang mit außergewöhnlichen unternehmerischen Transaktionen (einschließlich der Analyse der wirtschaftlichen, rechtlichen, steuerlichen und finanziellen Verhältnisse - "Due Diligence") zu teilen, wie beispielsweise bei Fusionen, Unternehmensverkäufen und anderen Transaktionen.

Datenübermittlungen in Drittländer

Soweit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums in Länder erfolgen, stellen wir sicher, dass dies ausschließlich in Einklang mit dem Unionsrecht und den geltenden gesetzlichen Bestimmungen geschieht:

Übermittlungen in Drittländer hinsichtlich derer die EU-Kommission durch Beschluss festgestellt hat, dass diese über ein angemessenes Schutzniveau verfügen, benötigen nach Art. 45 DSGVO keiner besonderen Genehmigung. Dies umfasst gegenwärtig Andorra, Argentinien, Canada (nur Wirtschaftsunternehmen), die Faröer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, Neuseeland, die Schweiz, Südkorea, Uruguay und das Vereinigte Königreich (bis auf weiteres nur bis 27.06.2025).

Übermittlungen an Unternehmen innerhalb der AXA-Unternehmensgruppe erfolgen darüber hinaus auf Grundlage verbindliche interner Datenschutzvorschriften ("Binding Corporate Rules" – BCR) nach Maßgabe von Artikel 47 DSGVO.

Soweit Transfers nicht durch eines der vorgenannte Rechtsinstrumente abgedeckt werden, stellt AXA XL gemäß Art. 44 ff. DSGVO sicher, dass die Angemessenheit des Datenschutzniveaus durch den Abschluss von EU-Standardvertragsklauseln nach Maßgabe von Art. 46 DSGVO sichergestellt wird.

Darüber hinaus hat AXA XL zusätzliche vertragliche, organisatorische und technische Maßnahmen implementiert, um sicherzustellen, dass die Empfänger ihren Verpflichtungen aus den verbindlichen internen Datenschutzvorschriften und EU-Standardvertragsklauseln nachkommen, was auch deren Durchsetzbarkeit einschließt.

Zu diesen Maßnahmen gehören eine zeitgemäße Verschlüsselung personenbezogener Daten (während der Übertragung und bei der Speicherung), die Pseudonymisierung der Daten, die Einschränkung des Zugriffs auf die personenbezogenen Daten sowie vertragliche und organisatorische Transparenz- und Informationsobliegenheiten.

Bezüglich aller Empfänger hat AXA XL die mit der Übertragung in die jeweiligen Drittstaaten verbundenen Risiken bewertet und entsprechend in einem Gutachten dokumentiert ("Transfer Risk Assessment" - TIA).

Für weitere Fragen, Auskünfte und Dokumentation zu unseren internationalen Datentransfers wenden Sie sich bitte an unseren Datenschutzbeauftragten.

Dauer der Datenspeicherung

Wir speichern und verarbeiten Ihre personenbezogenen Daten grundsätzlich nur so lange, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Soweit wir Ihre Daten über diesen Zeitraum hinaus aufbewahren, erfolgt dies entweder im Rahmen der Einhaltung uns treffender gesetzlicher Aufbewahrungsfristen (beispielsweise aufgrund steuer-, handels- oder sozialrechtlicher Vorschriften) oder weil Ihre Daten ggf. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden könnten. Im letzteren Fall richtet sich die Aufbewahrungsfrist nach der jeweils geltenden Verjährungsfrist.

Die steuer- und handels- und Aufbewahrungsfristen liegen in Liechtenstein bei 10 Jahren, im Sozialrecht bei 5 Jahren. Die Regelverjährung für zivilrechtliche Ansprüche im Fürstentum Liechtenstein beträgt 30 Jahre; für bestimmte Ansprüche können jedoch auch kürzere Verjährungsfristen gelten, beispielsweise 3 Jahre (ab Kenntnis) für Entschädigungsklagen die nicht aus einem Verbrechen entstanden sind oder 5 Jahre im Falle von Verträgen die in Verbindung mit gewerblichen Leistungen oder Lieferungen stehen.

Da die Aufbewahrungsfristen je nach Verarbeitung und der jeweiligen Situation erheblich variieren können, bitten wir Sie, sich für konkreten Anfragen an unseren Datenschutzbeauftragten zu wenden.

Betroffenenrechte

Sie können uns gegenüber unter den eingangs genannten Adressen die folgenden Rechte geltend machen:

• Bestätigung und Auskunft über die zu Ihrer Person verarbeiteten Daten (Art. 15 DSGVO);
• Berichtigung oder Vervollständigung unrichtiger bzw. unvollständiger Daten (Art. 16 DSGVO);
• Unverzügliche Löschung der Sie betreffenden Daten (Art. 17 DSGVO), bzw. die Einschränkung der Verarbeitung nach Maßgabe von Art. 18 DSGVO, sollte eine Löschung aus den in Art. 17 Abs. 3 DSGVO genannten Gründen noch nicht in Betracht kommen;
• Herausgabe der Sie betreffenden und von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format sowie die Übermittlung dieser Daten an andere Anbieter/Verantwortliche (Art. 20 DSGVO);
• Widerspruchsrecht
  Sie haben ferner das Recht, einer Verarbeitung Ihrer personenbezogenen Daten zu Zwecken der Direktwerbung zu widersprechen.
  Verarbeiten wir Ihre Daten zur Wahrung berechtigter Interessen, können Sie dieser Verarbeitung ebenfalls widersprechen, wenn sich aus Ihrer besonderen Situation Gründe ergeben, die gegen die Datenverarbeitung sprechen.

Sofern wir Ihre Daten auf Grundlage einer Einwilligung nach Art. 7 DSGVO verarbeiten sollten, haben Sie überdies das Recht, diese Einwilligung jederzeit und ohne Angabe von Gründen zu widerrufen. Jegliche Einwilligung wird grundsätzlich mittels einer gesonderten schriftlichen Erklärung eingeholt, in welcher Sie nochmals ausdrücklich über Ihr Widerrufsrecht sowie die auf Grundlage dieser Einwilligung durchgeführten Verarbeitungstätigkeiten informiert werden.

Sie haben überdies das Recht zur Beschwerde gegenüber den nachfolgend genannten Aufsichtsbehörden, sollten Sie der Ansicht sein, dass die Sie betreffenden Daten unter Verstoß gegen die datenschutzrechtlichen Bestimmungen verarbeitet werden (Art. 77 DSGVO).

Federführende Datenschutzaufsichtsbehörde im Sinne des Art. 56 Abs. 1 DSGVO:

Data Protection Commission
(An Coimisiún um Chosaint Sonraí)

21 Fitzwilliam Square South
Dublin 2
D02 RD28
Irland

Weitere zuständige Datenschutzbehörden nach Maßgabe von Art. 55 DSGVO:
Datenschutzstelle Fürstentum Liechtenstein (DSS)
Städtle 38
9490 Vaduz

Österreichische Datenschutzbehörde (DSB)
Barichgasse 40-42
AT-1030 Wien

Eine Beschwerde nach Art. 77 DSGVO kann bei jeder der vorgenannten Behörden eingelegt werden. Sie können sich daher frei entscheiden, an welche Behörde Sie sich wenden; bitte beachten Sie jedoch, dass Beschwerden in deutscher Sprache nur an die Datenschutzbehörden Vaduz oder Wien gerichtet werden sollten. Abhängig vom Gegenstand Ihrer Beschwerde ist es auch möglich, dass diese zwischen den beiden Behörden aufgrund unterschiedlicher Zuständigkeiten nach Art. 55 und 56 DSGVO weitergeleitet werden kann.